Scheinbar wurden bei Mindfactory nicht nur die Kundendaten geklaut

[Oi!Olli]

Glaubt man diesem User scheinen auch die Passwörter geklaut worden zu sein.

http://forum.mindfactory.de/allgemeines/62184-kritik-datenklau-mindfactory-17.html#post760289

Ich frage mich wie kann man Hashes nicht würzen und wieso informiert man nicht alle Kunden?

 

[Bullet4u]

Ich frage mich wie kann man Hashes nicht würzen

So etwas passiert i.d.R. falls die betreffenden Entwickler keine Ahnung haben, was sie eigentlich tun oder, falls das System zuerst korrekt implementiert war, später sicherheitskritische Teile vom Quelltext ändern und dabei übersehen, was dieser eigentlich für eine Funktion hat. Oder niemand hat sich aus Zeit- und Kostendruck die Mühe gemacht, dass System auf mögliche Sicherheitslücken zu testen oder das System wurde in einer Zeit entwickelt, in der dies noch als halbwegs sicher anzusehen war und niemand hat es für nötig gehalten, das System an aktuelle Sicherheitsstandards anzupassen - was ja wieder Geld kostet. Habe irgendwie das Gefühl, viele Webseitenbetreiber unterschätzen die Gefahren die durch Sicherheitslücken entstehen können.

Aber den genauen Grund kennt wahrscheinlich nur Mindfactory und diesen werden wir wahrscheinlich nie erfahren.

Vorallem frage ich mich, ob die Verantwortlichen auch alles Nötige tun, damit so etwas nicht noch einmal passiert - und überhaupt das entsprechende KnowHow dazu haben.

wieso informiert man nicht alle Kunden?

Das frage ich mich ehrlich gesagt auch. Kann sein, dass man gehofft hat, man könne alles unter den Teppich kehren.

Ich bin dort auch angemeldet und habe dies erst vor ein paar Tagen zufällig in einen anderen Forum gefunden

 

[mj]

Na super

Ich hab dort ebenfalls einen Account. Wie kann ich eigentlich rausfinden, ob ich selber davon auch betroffen bin?

 

[flashbang]

Was für eine sch****.

Bin grad echt stink sauer. Erst mal die Passwörter ändern.

 

[MP05]

Hi,

sehe ich das eigentlich richtig das man bei Mindfactory nicht selbst sein Konto löschen kann?
Ich hab bei denen nur mal einen Monitor bestellt und noch nichtmal bekommen, weil der nicht mehr lieferbar war. Fand es natürlich ganz toll das dann gleich meine Daten weg waren. Ich hab auch schon ein paar Spammails mit meinem vollen Namen auf meine E-Mail-Adresse bekommen .
Und als ich das jetzt mit dem Passwörtern gelesen habe, wollte ich gleich das Konto löschen, ging nur nicht. Mal sehen was der Kundenservice von MF dazu sagt.

Grüße

Marcel

 

[SILen(e]

Gab es eigentlich eine Benachrichtigung der Kunden durch Mindfactory?

Ich finde in meinen Posteingängen momentan nichts außer einer Bestellbestätigung von Anfang April und die von letztem Mai oder so... dazwischen und danach kam nichts, insbesondere nichts zu geklauten Daten.

Dass man sich Kundendaten klauen lässt ist dämlich, dass man sich dabei ungesalzene Passworthashes klauen lässt und kackdämlich und grob fahrlässig und sollte ein Kündigungsgrund für die ITler und Boykottierungsgrund für Kunden sein - aber dass es dann nicht mal eine offizielle Information und Entschuldigung, insbesondere aufgrund der Passwörter, gibt, das ist KRIMINELL!

Eine Bande von W******n!

Ein angepisster SILen(e, dem gerade bei Mindfactory seine Kundendaten und womöglich sein Passwort (nahezu) im Klartext gestohlen wurde und dessen Kundendaten dann gestern wohl noch mal bei Sony Online Entertainment verloren hat, idealerweise nur mit gesalzenen Hashes, dafür aber evtl. auch die Kreditkartendaten und Kontodaten.

Hurra!

 

[macom]

Hi,

nö gab bis jetzt keine Info von MF an die Kunden! Toll!
Habe auch erst hier im Thread davon gelesen.

Also erstmal gestern Passwort geändert und versucht das Kundenkonto bei denen zu löschen, aber das geht ja scheinbar nicht direkt so online..

Werde die Konsequenzen daraus ziehen und nicht mehr bei MF bestellen, ist jetzt zwar zu spät, aber was solls.
Zum Glück gibts ja genügend andere Shops bei denen man dann auch noch günstiger weg kommt

MfG
macom

 

[Gast31082015]

Die Passwortänderung ist schon seit dem Daten"diebstahl" bei jedem mir bekannten Nutzer Pflicht gewesen. Darauf wurde beim einloggen groß hingewiesen und man kam ohne Änderung auch nicht weiter.

 

[OBrian]

Das Problem ist ja, daß viele Leute nur eine kleine Handvoll Passwörter nutzen und die auf diversen Seiten wiederverwenden (kann man sich eben leichter merken). D.h. wenn die eMail-Adresse bekannt ist und ein Passwort, dann werden die Hacker versuchen, sich überall dort einzuloggen, wo es einen Account mit dieser Mail-Adresse oder mit dem Klarnamen gibt.

Daß man also jetzt sein Passwort ändert, ist gut und richtig, aber jeder sollte es nicht nur bei MF tun, sondern überall. Jedenfalls dann, wenn man nicht das von MF generierte weiterbenutzt hat, sondern es selbst geändert hat auf den Namen seines Haustiers oder sowas.

 

[Oi!Olli]

Die Passwortänderung ist schon seit dem Daten"diebstahl" bei jedem mir bekannten Nutzer Pflicht gewesen. Darauf wurde beim einloggen groß hingewiesen und man kam ohne Änderung auch nicht weiter.

Das kam laut deren Forum erst nachdem ein User mehrere Screenshots mit Hashes an die Verantwortlichen geschickt hat.

@ Silence Und eine Mitteilung das Daten geklaut wurden (Passwörter sein nicht betroffen) steht irgendwo am Forum.

 

[OBrian]

ja eben, "irgendwo im Forum" ist keine Benachrichtigung der Kunden. Als ob ich jeden Tag das MF-Forum lese

 

[Oi!Olli]

ja eben, "irgendwo im Forum" ist keine Benachrichtigung der Kunden. Als ob ich jeden Tag das MF-Forum lese

Der Martkingmanager ist dieser Meinung (der Link zum Forum ist ja drin und dort sind auch einige Aussagen von ihm so ab Seite 10 Glaub ich).

 

[macom]

ja eben, "irgendwo im Forum" ist keine Benachrichtigung der Kunden. Als ob ich jeden Tag das MF-Forum lese

Hi,

jo so isses...

Mein Gott wann logge ich mich denn mal bei MF ein... nur wenn ich wirklich was bei MF kaufen will (das ist jetzt 13 Monate her! ), wenn ich mal eben Preise schauen will jedenfalls nicht.

MfG
macom

 

[SILen(e]

Ich war das letzte mal Anfang April bei Mindfactory, da waren die Daten wohl schon weg, aber dass auch Passwörter betroffen waren war bis dahin afaik auch Mindfactory unbekannt, Passwortänderung war iirc nicht notwendig.

Und seitdem hab ich den Dienst nicht mehr genutzt.

Und da meine Adresse nicht nur meine Adresse ist wenn ich gerade auf Mindfactory surfe, sondern auch in jeder anderen Sekunde, wäre eine etwas direktere Nachricht als versteckt im Forum wohl angebracht.

Für eine Bekannte steht diesen Monat wohl ein kleinerer neuer PC an, 400 Euro...

Der letzte Kauf, 120€, Anfang April für sie war bei Mindfactory.

Der Kauf des neuen PCs wird woanders sein!

 

[Oi!Olli]

Wow inzwischen hat sich auch einer der Chefs gemeldet.

Aussage wir wollen nichts sagen.

 

[OBrian]

Hmm, scheint so langsam loszugehen mit dem Spam. Habe auf meine eMailadresse (die sonst NIE Spam bekommt, weil sie der Weböffentlichkeit unbekannt ist) neben mehreren aus chinesischen Zeichen bestehenden Spams inzwischen zwei Mails von

bekommen (binde die Seite mal als Bild ein, damit sie nicht per Google gefunden wird, man wird ja langsam paranoid ). Bedeutet das jetzt, daß die sich die Daten vom Hacker gekauft haben, oder hat sich jemand mit meiner eMail da angemeldet und bestellt demnächst was auf meine Kosten (die Seite scheint ein Shop für irgendwas zu sein)?

Haben also andere Betroffene auch den gleichen Spam gekriegt? Wenn nicht, war es wohl nur Zufall, soll ja vorkommen...

 

[Oi!Olli]

Ich kenne die Mail nicht aber ich vermute mal die soll dich dazu verleiten das du was bei diesem "Shop" bestellst.

 

[SILen(e]

Impulse ist ein Gegenstück zu Steam, ist auch ein Shop der Spiele auf digitalem Wege vertreibt.

Die sind zwar nicht ganz so bekannt, aber die werden garantiert nicht ihren Ruf versauen indem sie Geschäfte mit Datendieben machen und dann spammen.